Plus de dix groupes d'espionnage APT exploitent les failles Exchange Server

Plus de dix groupes d’espionnage APT exploitent les failles Exchange Server

Par Sébastien Gavois

Le 12 Mars 2021 à 09h16
Internet
3 min 4

Plus de dix groupes d'espionnage APT exploitent les failles Exchange Server

L’équipe de chercheurs d’ESET a découvert que plus de dix groupes ont tenté d'exploiter la vulnérabilité attribuée à Hafnium, l'entité liée à la Chine accusée d'avoir utilisé quatre failles 0-day (ou « failles non corrigées » selon la nouvelle terminologie numérique) pour pirater « au moins 100 000 » serveurs Microsoft Exchange dans le monde, dont 30 000 aux États-Unis. 

ESET relève au surplus qu’à l’exception d’un seul (DLTMiner, lié à une campagne de cryptominage bien connue), tous ces acteurs sont des groupes APT (pour Advanced Persistent Threat, ou menace persistante avancée, terme utilisé pour désigner un groupe, souvent gouvernemental, ayant les moyens et la technicité de cibler des entités à haute valeur ajoutée) versés dans l’espionnage. 

Mais également que cinq d'entre eux avaient eu accès aux détails des failles avant même la publication du correctif par Microsoft, et qu'ils pourraient donc être liés à Hafnium :

  • Tick (également connu sous le nom de Bronze Butler), actif depuis 2008, cible d'ordinaire des organisations principalement basées au Japon, mais aussi en Corée du Sud, en Russie et à Singapour. Son principal objectif semble être le vol de propriété intellectuelle et d’informations classifiées.
  • LuckyMouse (également connu sous le nom d’APT27 et d’Emissary Panda) est connu pour avoir violé de multiples réseaux gouvernementaux en Asie centrale et au Moyen-Orient, mais aussi des organisations transnationales telles que l’Organisation de l’aviation civile internationale (OACI) en 2016.
  • Calypso (aussi associé à XPATH) cible les institutions gouvernementales en Asie centrale, au Moyen-Orient, en Amérique du Sud et en Asie.
  • Winnti Group (également connu sous le nom de BARIUM ou APT41), actif depuis au moins 2012, est responsable d’attaques de chaîne d’approvisionnement très médiatisées contre les industries du jeu vidéo et du logiciel, conduisant à la distribution de logiciels « trojanisés » (tels que CCleaner, ASUS LiveUpdate et plusieurs jeux vidéo).
  • Tonto Team, actif depuis au moins 2009, cible d’ordinaire des gouvernements et des institutions principalement basés en Russie, au Japon et en Mongolie. 

Commentaires (4)


Anonyme_f7d8f7f164fgnbw67p
Le 12/03/2021 à 10h33

Bah en même temps, 2 mois pour corriger la vulnérabilité chez MS, ça laisse le temps aux méchants de se documenter :fumer:


pyrignis Abonné
Le 12/03/2021 à 18h22

Alors en effet, vu l’impact de la vulnérabilité c’est facile d’indiquer qu’il faut corriger la vulnérabilité mais dans le cas de cette correction, elle est particulièrement difficile à déployer.


jt_69.V
Le 12/03/2021 à 13h00

Et du coup Microsoft devrait pouvoir être tenu pour responsable des dommages consécutifs


SebGF Abonné
Le 15/03/2021 à 17h57

tous ces acteurs sont des groupes APT (pour Advanced Persistent Threat, ou menace persistante avancée, terme utilisé pour désigner un groupe, souvent gouvernemental, ayant les moyens et la technicité de cibler des entités à haute valeur ajoutée)




Ah, je me demandais le rapport avec apt de Debian !


Fermer